Cyberangriffe

Hackergruppe „OilRig“ nimmt Telkos ins Visier und nutzt neuen C2-Kanal mit Steganografie

, München, Unit 42 | Autor: Herbert Wieler

Hackergruppe „OilRig“ nimmt Telkos ins Visier und nutzt neuen C2-Kanal mit Steganografie

Versteckte Daten und Befehle in Bilddateien

Unit 42, das Malware-Forschungsteam von Security-Experten Palo Alto Networks, hat bei der Analyse eines Angriffs auf einen Telekommunikationsbetreiber eine neue Variante des Tools RDAT entdeckt, dass der Hackergruppe OilRig zuzuordnen ist. Das jüngste Tool der Angreifer nutzt einen neuartigen E-Mail-basierten Command-and-Control-Kanal (C2), der sich auf eine als Steganografie bekannte Technik stützt, um Befehle und Daten in Bitmap-Bildern als Anhang von E-Mails zu verstecken.

Die RDAT-Backdoor wird seit mindestens drei Jahren von der OilRig-Bedrohungsgruppe verwendet, Im Laufe der letzten drei Jahre wurde dieses Tool kontinuierlich weiterentwickelt, was zu zahlreichen Varianten mit Unterschieden in der Funktionalität und den verfügbaren C2-Kanälen geführt hat. Die Verwendung eines neuartigen C2-Kanals in Kombination mit Steganografie zeigt die kontinuierliche Evolution verschiedener Taktiken und Techniken dieses Gegners im Laufe der Zeit.

Im Mai 2020 veröffentlichte Symantec eine Forschungsarbeit über Angriffe der Greenbug-Gruppe vom April 2020, die sich gegen Telekommunikationsbetreiber in Südostasien richteten. Die Forscher von Palo Alto Networks beobachteten ähnliche Taktiken und Tools im Zusammenhang mit Angriffen auf ein Unternehmen im Nahen Osten im April 2020. Hierbei kamen benutzerdefinierte Mimikatz-Tools, Bitvise, PowerShell-Downloader und eine benutzerdefinierte Backdoor, die die Forscher unter dem Namen RDAT verfolgen, zum Einsatz. Unit 42 hatte zuvor bereits Greenbug mit OilRig in Verbindung gebracht, einer Bedrohungsgruppe, die das Forschungsteam 2015 entdeckt hatte. Das RDAT-Tool, das bei den Operationen von OilRig eingesetzt wurde, haben die Forscher erstmals 2017 beobachtet. Später fanden sie jedoch ein verwandtes Sample, das 2018 erstellt wurde und einen anderen Command-and-Control-Kanal verwendete. Bei der Analyse dieses Samples fanden die Forscher einen neuartigen E-Mail-basierten C2-Kanal, der in Kombination mit Steganografie, ein Teilbereich der Kryptologie, zur Datenexfiltration verwendet wurde.

Unit 42 verfolgt RDAT seit 2017, als die Forscher zum ersten Mal sahen, wie dieses Tool in eine Webshell hochgeladen wurde. Diese war mit der TwoFace-Webshell verwandt, die in dem am 26. September 2017 veröffentlichten Striking Oil Blog diskutiert wurde. RDAT wird seit 2017 aktiv entwickelt, was zu mehreren Varianten des Tools geführt hat, die für die C2-Kommunikation sowohl auf HTTP- als auch auf DNS-Tunneling beruhen. Im Juni 2018 fügten die Entwickler von RDAT die Möglichkeit hinzu, Exchange Web Services (EWS) zum Senden und Empfangen von E-Mails für die C2-Kommunikation zu nutzen. Dieser E-Mail-basierte C2-Kanal ist in seinem Design neuartig, da er sich auf Steganografie stützt, um Befehle zu verbergen, und Daten innerhalb von BMP-Bildern exfiltriert, die an die E-Mails angehängt sind. Diese Taktik kann dazu führen, dass bösartige Aktivitäten viel schwieriger zu erkennen sind und dadurch den Angreifern höhere Chancen auf eine Umgehung der Verteidigungsmaßnahmen verschafft.